1.　概要

　2024年9月17日にBroadcom社より、VMware製品のひとつである仮想化環境の管理運用ツール「VMware vCenter Server」にて、DCE/RPC プロトコルの実装に起因するヒープベースのバッファオーバーフローの脆弱性（CVE-2024-38812）と、権限昇格の脆弱性（CVE-2024-38813）が公開されました。同時にパッチもリリースされましたがCVE-2024-38812が完全に解決できておらず、2024年10月21日に修正版がリリースされています。また上記2つの脆弱性はすでに悪用が確認されており、未対策の場合は攻撃者による任意のコードの実行や、システムの不正操作による情報窃取などの被害が発生する可能性があります[1]。
　今回は本脆弱性の詳細とその対策について紹介いたします。

2.　脆弱性の詳細

2.1 脆弱性（CVE-2024-38812）について
　VMware vCenter Server には、DCE/RPC プロトコル（複数のコンピュータ上のソフトウェアを一つのコンピュータ上で扱うためのプロトコル）の実装にヒープ領域でのバッファオーバーフローの脆弱性（CVE-2024-38812）が存在します。
　バッファオーバーフローとは、コンピュータのメモリ上で確保されたある領域（バッファ）に対し、その大きさ以上のデータを書き込めることに起因する脆弱性であり、本脆弱性は、ヒープ領域と呼ばれる関数などで動的に確保可能なメモリ領域で起こるバッファオーバーフローです。
　攻撃者は大量のデータや悪意のあるコードを送ることで、標的の環境にて任意のコードを実行します。

【図1】 ヒープ領域でのバッファオーバーフローのイメージ

2.2 脆弱性（CVE-2024-38813）について
　VMware vCenter Server には、権限昇格の脆弱性（CVE-2024-38813）が存在します。
　権限昇格は、本来許可されていないリソースへのアクセスが可能になることで、垂直方向（一般ユーザ権限から管理者権限への昇格）と水平方向（同じ権限レベルで異なるユーザのアクセス権を得る）の2種類が存在します。本脆弱性は垂直方向の権限昇格であり、攻撃者が特別に細工したネットワークパケットを送信することで、権限を管理者権限に昇格される可能性があります。管理者権限でのシステムの不正操作により情報窃取などの被害が発生する可能性があります。

【図2】 垂直方向の権限昇格のイメージ

2.3 脆弱性（CVE-2024-38812、CVE-2024-38813）の対象システム
　影響を受けるVMware製品のバージョンは以下となります。
- VMware vCenter Server 7.0 , 8.0
- VMware Cloud Foundation 4.x , 5.x , 5.1.x

3.　対策

　脆弱性（CVE-2024-38812）のCVSSv3スコアが9.8と非常に高い評価となっております。また、脆弱性（CVE-2024-38812）、脆弱性（CVE-2024-38813）共にBroadcom社によりすでに悪用が確認されていることから、対象システムを利用している場合は同社より公開されている以下の修正版パッチの適用が推奨されています。
- VMware vCenter Server 8.0 Update 3d
- VMware vCenter Server 8.0 Update 2e
- VMware vCenter Server 7.0 Update 3t

4.　VMware製品のライセンスモデルの変更に伴う問題について

　現在は、Broadcom 社より「VMware by Broadcom」のブランド名で販売されている仮想化製品群ですが、元はVMware 社が開発・販売を行っており、2023年11月22日にBroadcom 社に買収されています[2]。その後、2024年2月にVMware製品のライセンスモデルが変更される旨が発表されました[3]。主な変更点として永続ライセンスの販売終了、新しいライセンス・料金体系が挙げられ、実質値上げに相当するとの意見もありました。それにより、ユーザおよびクラウドベンダーへ、VMware製品を使用した既存システムのランニングコスト上昇などの影響がありました。また、システム移行に伴う見積もりの遅延などもあったようです[4]。実際にあったトラブルの一例を以下に記載しています。

- 2024年8月29日
　米国の大手通信会社であるAT&T 社がニューヨーク州最高裁判所にてBroadcom 社を訴訟しました。すでに購入済みのVMware製品のサポートに関する騒動となっています。

- 2024年9月25日
　公正取引委員会が、不要な製品を購入させたなどの独占禁止法違反の疑いでVMware日本法人に対し、立ち入り検査を実施しました。

5.　まとめ

　今回は仮想化環境の管理運用ツール「VMware vCenter Server」における、DCE/RPC プロトコルの実装に起因するヒープベースのバッファオーバーフローの脆弱性（CVE-2024-38812）と、権限昇格の脆弱性（CVE-2024-38813）について紹介しました。脆弱性（CVE-2024-38812）のCVSSv3スコアが9.8と非常に高い評価となっていること、脆弱性（CVE-2024-38812）、脆弱性（CVE-2024-38813）共にすでに悪用が確認されていることから、対象システムを使用している場合は速やかな対応の実施を推奨いたします。

6.　参考資料

[1] VMSA-2024-0019:VMware vCenter Server updates address heap-overflow and privilege escalation vulnerabilities（CVE-2024-38812, CVE-2024-38813） 2024年11月25日閲覧
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968

[2] Broadcom Completes Acquisition of VMware 2024年11月25日閲覧
https://investors.broadcom.com/news-releases/news-release-details/broadcom-completes-acquisition-vmware

[3] VMware by Broadcom : 製品ラインアップとライセンスモデルを大幅に簡素化 2024年11月25日閲覧
https://blogs.vmware.com/vmware-japan/2024/02/vmware-by-broadcom-business-transformation.html

[4] Strengthening partners to better serve our customers 2024年11月25日閲覧
https://jp.broadcom.com/blog/strengthening-partners-to-better-serve-our-customers

7.　SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

　急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
　SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

セキュリティ運用監視サービス：
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス：
https://www.ssk-kan.co.jp/vulnerability-assessment

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
　リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
　　　　　　　FAX 03-5464-9977
　　　　　　　sales@ssk-kan.co.jp

1.　概要

　Palo Alto Networks社製品に搭載されている「PAN-OS」で、複数の脆弱性（CVE-2024-0012、CVE-2024-9474）が存在することが報告されました。この脆弱性を悪用する脅威活動はすでに確認されており、11月18日（現地日付）にJPCERTコーディネーションセンター（JPCERT/CC）にて緊急で注意喚起が行われています。
　その中でも認証バイパスの脆弱性（CVE-2024-0012）のCVSS v4.0のベーススコアは9.3（Critical）と極めて高いため、脆弱性対象のPAN-OSを使用している場合はPalo Alto Networks社より案内のある対策を実施することが推奨されています。

2.　脆弱性情報詳細（CVE-2024-0012）、（CVE-2024-9474）

(1) 脆弱性の概要（CVE-2024-0012）
　PAN-OSには設定の変更やモニタリングを行うための管理インタフェース機能があります。このインタフェースにはソフトウェアの認証バイパスにより、認証されていない攻撃者がPAN-OS管理者権限を取得できる脆弱性が確認されています。本脆弱性が悪用されることで、その攻撃者によって管理アクションの実行や設定の改ざんの実行の可能性があります。

(2) 脆弱性の概要（CVE-2024-9474）
　前述の脆弱性を利用して攻撃者がPAN-OS管理者としてアクセスできた場合、さらにソフトウェアの権限を昇格させroot権限を用いてファイアウォールでアクションを実行することができる脆弱性が確認されています。本脆弱性を悪用されることで、認証されていない攻撃者がroot権限で任意のコードを実行する可能性があります。

(3) 攻撃概要
　攻撃者はこれらの脆弱性を悪用することで認証バイパスにより管理インタフェースにアクセスし、PAN-OS管理者権限を取得します。その後、ソフトウェアの権限を昇格させroot権限を取得して攻撃者はファイアウォールでアクションを実行し、任意のコードを実行させます。これにより、攻撃者は内部情報を取得したり、内部ネットワークにマルウェアを感染させたりすることが可能となります。

【図１】 攻撃のイメージ

(4) 影響を受けるシステムおよびバージョン
　CVE-2024-0012、CVE-2024-9474共通
　- PAN-OS 11.2.4-h1より前の11.2系のバージョン
　- PAN-OS 11.1.5-h1より前の11.1系のバージョン
　- PAN-OS 11.0.6-h1より前の11.0系のバージョン
　- PAN-OS 10.2.12-h2より前の10.2系のバージョン

　CVE-2024-9474のみ
　- PAN-OS 10.1.14-h6より前の10.1系のバージョン

(5) 対策
　すでに本脆弱性の悪用を試みる攻撃が報告されており、本脆弱性のCVSSv4スコアが9.3と高く、脆弱性を悪用された場合に深刻な被害を受ける可能性があります。そのため、影響を受けるシステムおよびバージョンを利用している場合には速やかな対応が必要です。11月18日（現地日付）以降、Palo Alto Networks社から脆弱性に対応する修正バージョンが順次公開されておりますので、案内に沿ってアップグレードを実施してください。

(6) 軽減策
　Palo Alto Networks社から本脆弱性に対しての軽減策として、管理インタフェースへのアクセスを保護することが推奨されています。具体的には、管理インタフェースへのアクセスを信頼できる内部IPアドレスに制限することで、インターネットからの許可されていない送信元によるアクセスを防ぐことができます。管理インタフェースへのアクセス制御方法の詳細な手順については下記をご参照ください。

・Palo Alto Networks
　ファイアウォールへの管理アクセスを保護する方法 2024年11月20日閲覧
　https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431

3.　まとめ

　本記事では、Palo Alto Networks社製品に搭載されているPAN-OSにおける最新の脆弱性(CVE-2024-0012、CVE-2024-9474)について詳細と対策を紹介いたしました。すでに当該脆弱性の悪用が確認されているため、当該製品をご利用の場合、Palo Alto Networks社より案内のある対策を実施することが推奨されています。

4.　参考情報

・JPCERT/CC
　Palo Alto Networks製PAN-OSの管理インタフェースにおける複数の脆弱性（CVE-2024-0012、CVE-2024-9474）に関する注意喚起 2024年11月20日閲覧
　https://www.jpcert.or.jp/at/2024/at240022.html

・Palo Alto Networks
　CVE-2024-0012 PAN-OS:管理インタフェースでの認証バイパス (PAN-SA-2024-0015) 2024年11月20日閲覧
　https://security.paloaltonetworks.com/CVE-2024-0012

・Palo Alto Networks
　CVE-2024-9474 PAN-OS: Web 管理インタフェースの特権昇格 (PE) の脆弱性 2024年11月20日閲覧
　https://security.paloaltonetworks.com/CVE-2024-9474

・Palo Alto Networks
　ファイアウォールへの管理アクセスを保護する方法 2024年11月20日閲覧
　https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431

5.　SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

　急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
　SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

セキュリティ運用監視サービス：
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス：
https://www.ssk-kan.co.jp/vulnerability-assessment

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
　リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
　　　　　　　FAX 03-5464-9977
　　　　　　　sales@ssk-kan.co.jp

1.　概要

　昨今、構築されたシステムへの不正アクセスが原因で社外秘の内部情報が漏えいするニュースが後を絶ちません。しかし、不正アクセスの対策として認証の分野では二段階認証という方法を用いることも多くなってきました。
　一方で、当社が実施しているWebアプリケーション脆弱性診断において、対策として用いている二段階認証機能を回避する脆弱性を検出することがあります。
　今回の記事では、二段階認証を回避する脆弱性の一例と対策について紹介します。

2.　二段階認証とは

　二段階認証は、下記のような攻撃者による不正アクセスに対する代表的な対策として実装されます。
　・ 正規のユーザが設定してしまったセキュリティ強度の弱いパスワードの推測
　・ Webアプリケーション内に潜在してしまった脆弱性を突いた攻撃による認証情報の漏えい
　・ 漏えいした別のアプリケーションのパスワードを流用するパスワードリスト攻撃　など

　ここでログイン後の重要処理（個人情報の修正や決済処理など）の前に二段階認証を行う実装の一例を紹介します。
　1. 正規の利用者は通常通り、IDとパスワードでログインします。
　2. 正規の利用者が重要処理を実行する前に、Webアプリケーションは二段階認証の画面を表示します。
　3. Webアプリケーションは、事前に登録されている正規の利用者のメールアドレスやSMSなどに認証コードを送信します。
　4. 正規の利用者は送信された認証コードを入力します。
　5. Webアプリケーションは3.で送信した認証コードと4.で入力された認証コードが一致する場合のみ重要処理を実行します。

　攻撃者が前述したような何らかの方法でIDとパスワードを取得し、不正ログインを成功させていたとしても、3.にて送信される認証コードを受け取れる人は「正規の利用者のみ」のため、攻撃者は重要処理を実行/完了できず、不正アクセスによる被害を軽減できます。
　流れとしては特別に難しい処理はなく、二段階認証が成功した場合のみ重要処理を実行するような実装をすることが大事です。次は、このような二段階認証を回避できてしまう実装の例を紹介します。

3.　二段階認証が迂回できてしまう不十分な実装の一例

　二段階認証で重要視するべき処理は、前述の流れの5.で認証コードを検証した後にどのような流れで重要処理を実行するかです。ここに不備があると二段階認証を実装していたとしても、その役割を十分に発揮できず回避されてしまいます。
　下記にその流れの一例を提示します。まずは正規の利用者が重要処理として個人情報の修正を行う際の流れを提示します。（正常処理Step）
　1-1. 正規の利用者は自身のIDとパスワード（認証情報）でログインします。
　1-2. 個人情報編集画面へ移動後、必要情報を入力し更新処理を実行しようとします。
　1-3. Webアプリケーションは更新処理実行前に、二段階認証画面を表示し、正規の利用者に認証コードを送信します。
　1-4. 正規の利用者は認証コードを入力し、Webアプリケーションに送信します。
　1-5. Webアプリケーションは認証コードの検証後、更新画面を再表示します。
　1-6. 正規の利用者は更新完了ボタンを押下し、Webアプリケーションは更新処理を実行し、更新完了画面を表示します。

　次に二段階認証を回避する攻撃の流れを提示します。（攻撃Step）
　2-1. 攻撃者は何らかの方法（パスワードリスト攻撃等）で不正入手したIDとパスワード（認証情報）で不正ログインします。
　2-2. 個人情報編集画面へ移動後、必要情報を入力し更新処理を実行しようとします。
　2-3. Webアプリケーションは更新処理実行前に、二段階認証画面を表示し、正規の利用者に認証コードを送信します。
　2-4. 攻撃者は認証コードを受け取れないため、二段階認証画面が表示されても無視し、二段階認証後の更新画面にて更新完了ボタンを押下した際のHTTPリクエスト（Step1-6.で発生するリクエスト）を作成し、送信します。
　2-5. Webアプリケーションは更新処理を実行し、更新完了画面を表示します。

　攻撃者はStep2-4.にて、二段階認証を無視して更新完了処理を実行できてしまいました。次の章ではなぜ実行できたのか、その原因と対策を紹介します。

4.　原因と対策

　攻撃Stepにて二段階認証を回避して重要処理を完了させることができてしまった理由は、Webアプリケーション側で攻撃Step2-5.の更新処理を「二段階認証を正常にクリアした後のHTTPリクエストなのかどうか」を検証していない実装だったためです。
　正常処理Stepのように、正規の利用者は画面のボタンなどブラウザに表示される画面に沿って処理を実行します。それに対し、攻撃者は攻撃Step2-4.のように任意のタイミングでリクエストを作成し、Webアプリケーションに送信して攻撃を実行します。
　この任意のタイミングでリクエストを作成する方法ですが、さほど難しいものではありません。JavaScriptやHTTPリクエストを作成できるツール（Burp Suiteなど）、プログラミング言語を使用することで任意のリクエストを誰でも作成し、送信することが可能です。

　この攻撃に対するWebアプリケーションの利用者側の根本的な対策は、残念ながらありません。正常処理Step1-1.におけるIDとパスワード（認証情報）をより強固なものにして、攻撃Step2-1.の発生を抑えることが利用者側にできる最低限の対策になると考えます。
　Webアプリケーションの開発側では、「重要処理を実行する際に二段階認証をクリアしたHTTPリクエストかどうか」を検証することで根本的な対策になります。今回の一例では処理の流れを重視したため、「二段階認証をクリアした後でないと重要処理を実行できない」と誤認識してしまい、重要処理実行時の認証状態の検証が抜けています。HTTPリクエストは誰でも、任意のタイミングで、任意のリクエストを送信することができてしまうことを把握しておくことも必要です。
　また、利用者側ができる「認証情報を強固なものにする」対策の補助として、パスワード設定の際の文字数や記号、大文字小文字などで入力値検証を実装し、自然な流れで利用者に強固な認証情報を設定するように促すこと重要な対策になると考えます。

5.　まとめ

　不正アクセス対策として二段階認証を実装したが、その役割が十分に果たされず、二段階認証機能を回避できてしまう例を紹介しました。
　前述しましたが、Webアプリケーションにおいて二段階認証を実装する際には、「その重要処理を実行、完了するときにHTTPリクエストを実行するユーザ」の認証状態をWebアプリケーション側できちんと検証することが重要です。
　Webアプリケーションに対して実装したセキュリティ対策/脆弱性対策が十分にその役割を発揮しているか、またはそもそも未対策の脆弱性が潜在していないかなど、セキュリティ面で気になることがありましたら、是非弊社サービスの脆弱性診断のご利用をご検討ください。

6.　SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて

　コロナ禍を経て急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
　SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっております。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しております。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。

セキュリティ運用監視サービス：
https://www.ssk-kan.co.jp/e-gate#e-gate--02
脆弱性診断サービス：
https://www.ssk-kan.co.jp/vulnerability-assessment

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
　リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
　　　　　　　FAX 03-5464-9977
　　　　　　　sales@ssk-kan.co.jp